10点到点连接分析报告.pptVIP

? 2002, Cisco Systems, Inc. All rights reserved. 1 网络管理技术 主讲：张丽虹 网络工程系 标准访问列表（standard access lists) 只检查分组的源地址信息 允许或拒绝的是整个协议栈 扩展访问列表（extended access lists) 可以同时检查源和目的地址信息 可针对于三层或四层协议信息进行控制，是目前使用非常广泛的安全控制方法。 访问控制列表的类型 访问列表配置指南 先在路由器的全局配置模式下创建ACL,然后在接口模式应用ACL。 指定一个访问列表的表号，1-99表示标准ACL；100-199表示扩展访问列表，不到必要的时候，不要使用扩展的列表号码. 每接口、每协议、每方向只能有一个访问列表。 在ACL中，你输入列表条目的顺序就是IOS测试的顺序。 记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。 ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情况，添加相应的允许(permit)语句。 在把ACL映射到接口之前先做好这个ACL，否则就全部拒绝。 ACL对穿越路由器和到达路由器的流量起作用，对来自路由器本身的流量不起作用。 在接口上启动访问列表 可以设定入站和出站的方向 缺省 = outbound no ip access-group access-list-number 从接口上移除访问列表 Router(config-if)#ip access-group access-list-number {in | out} 逐一设定IP标准访问列表中的表项 IP标准访问列表的表号使用 1 to 99 缺省的通配符掩码 = （也就是说，当你不写通配符掩码的时候） no access-list access-list-number 移除整个ACL，编号方式的ACL不能删除具体的表项只能全部删除，这点要格外注意。 remark 给访问列表添加功能注释，推荐使用它。 Router(config)#access-list access-list-number {permit | deny | remark} source [mask] 标准IP访问列表的配置 Router(config-if)#ip access-group access-list-number {in | out} 扩展IP访问列表配置 在接口上启动这个扩展访问列表 为扩展访问列表设置表项参数,有点复杂. Router(config)#access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] 现代访问控制列表的配置 命名访问列表配置 1.标准命名ACL 命名ACL允许使用一个字母、数字组合的字符串来表示ACL表号。 （1）配置标准命名ACL的命令： Firewall(config)#ip access-list standard [name] Firewall(config-std-nacl)#{Deny|permit} [source address] [wildcard] Firewall(config-if)#ip access-group name {in|out} （2）设计一个标准命名ACL，以用于阻塞来自一个特定子网的通信流量，而允许所有其他通信流量，并把它们转发出去，配置命令如下： Firewall(config)#ip access-list standard task1 Firewall(config-std-nacl)#deny 55 Firewall(config-std-nacl)#permit any Firewall(config)#interface fa0/0 Firewall(config-if)#ip access-group task1 in 2.扩展命名ACL (1)配置扩展命名ACL的命令： Firewall(config)#ip access-list extended [name] Firewall(config-ext-nacl)#{Deny|permit} [source address] [wildcard] Firewall(config-if)#ip access-group name {in|out} （2）设计一个命名ALC，只拒绝来自特定子网的FTP和Te